211service.com
Dropbox et les services similaires peuvent synchroniser les logiciels malveillants
Dropbox et les services similaires ont explosé en popularité ces dernières années, car les utilisateurs trouvent très pratique de simplement faire glisser des fichiers vers une icône qui place ces données dans le cloud, les partage avec d'autres et synchronise automatiquement les nouvelles versions sur plusieurs appareils.
Mais facilité d'utilisation et insécurité vont souvent de pair, et maintenant les chercheurs révèlent une vérité inconfortable : si un ordinateur doté de la fonctionnalité Dropbox est compromis, la fonction de synchronisation permet à tout logiciel malveillant installé par l'attaquant d'atteindre d'autres machines et réseaux utilisant le service. Les gens ne considèrent pas qu'une fois que vous avez configuré Dropbox, tout ce que vous placez dans le dossier de synchronisation obtient un passage gratuit à travers le pare-feu, explique Jacob Williams, expert en criminalistique numérique chez CSR Group. Nous l'avons testé sur plusieurs services et les données passent directement par le pare-feu.
Williams dit que ces dernières semaines, il a pu le faire non seulement avec Dropbox mais aussi avec des services concurrents : SkyDrive, Google Drive, SugarSync et Amazon Cloud Drive. C'est comme le courrier électronique dans les années 90, dit-il. Nous le voulions, mais avec lui sont venus le spam, la commande et le contrôle des logiciels malveillants et la distribution de logiciels malveillants. Nous n'avons tout simplement pas encore d'outils de détection et de sécurité pour couvrir Dropbox et des services similaires.
Personne chez Dropbox, qui a été fondé en 2007 par Drew Houston et Arash Ferdowsi (voir Cacher toutes les complexités du stockage de fichiers à distance derrière une petite boîte bleue), ne ferait de commentaire sur la question. Le service compte plus de 175 millions d'utilisateurs.
La recherche sur Dropbox et des services similaires s'ajoute à une litanie de problèmes de sécurité récents concernant le stockage de données et l'exécution de calculs sur des serveurs distants ou cloud. Bien que de tels services puissent être meilleurs que de tout exécuter vous-même (voir Être intelligent à propos de la sécurité du cloud ), les chercheurs en sécurité continuent de trouver de nouvelles façons de les attaquer (voir Les chercheurs en sécurité pleuvent sur le cloud d'Amazon ). Avec l'utilisation croissante des services basés sur le cloud, ces types d'attaques vont réapparaître jusqu'à ce que les plates-formes arrivent à maturité, explique Radu Sion, informaticien et chercheur en sécurité à l'Université Stony Brook. L'attaque ici n'est pas en fait sur Dropbox mais plutôt dans l'utilisation de Dropbox par les gens. Dropbox vient de faciliter un canal pour les documents [infectés] via le pare-feu de l'entreprise. Il l'a appelé une combinaison bien assemblée d'exploits existants.
Williams est tombé sur l'exploitation de Dropbox comme vecteur d'attaque lorsqu'un client lui a demandé de tester la sécurité d'un réseau d'entreprise. Dans un premier temps, sans rapport avec Dropbox, Williams a obtenu une adresse e-mail personnelle pour le DSI et a réussi à mener une attaque de spear-phishing lorsque le DSI a cliqué sur un fichier joint contenant un malware. Lorsque le DSI n'était pas au bureau avec son ordinateur portable, Williams a pu accéder à l'ordinateur et a trouvé des documents d'entreprise dans un dossier de synchronisation Dropbox.
Ce n'était pas la faute de Dropbox en soi ; tout sur la machine – mots de passe, photos de famille – a été exposé. Mais la prochaine étape cruciale impliquait l'utilisation de Dropbox et de ses pouvoirs de synchronisation pour charger un fichier malveillant qui apparaîtrait ensuite dans des dossiers à l'intérieur du réseau de l'entreprise.
Il a écrit un fichier malveillant appelé DropSmack et l'a utilisé pour infecter un fichier déjà présent dans le dossier Dropbox du CIO. Lorsque le DSI a ensuite ouvert ce fichier, l'outil DropSmack a ensuite autorisé l'envoi de commandes malveillantes à l'intérieur du réseau de l'entreprise via des fichiers synchronisés par Dropbox, y compris des commandes permettant le vol de fichiers. Plus tard, Williams a répliqué l'attaque avec plusieurs autres services de synchronisation de stockage en nuage populaires.
Bien qu'aucune attaque ne se soit produite de cette façon, je ne peux pas imaginer que quelqu'un quelque part ne l'ait pas utilisé pour de véritables attaques, dit Williams. C'est presque impossible à détecter avec les outils actuels, donc nous ne savons pas. Les outils de prévention des pertes de données ont beaucoup de mal avec Dropbox et autres. Ils échouent vraiment à protéger ces services. Il a parlé de ses attaques contre les services de stockage en nuage dans un parler à Black Hat plus tôt ce mois-ci.
Dans une autre découverte la semaine dernière, d'autres chercheurs ont réussi à décrypter le code utilisé par le client Dropbox, le précurseur d'une attaque contre Dropbox lui-même. Je dirais que c'était plutôt une tâche facile - le code était protégé d'une manière assez simple, a déclaré Przemysław Węgrzyn, ingénieur logiciel chez Codepainters, une entreprise de sécurité à Wroclaw, en Pologne, qui a co-écrit un papier présenté lors de la conférence sur la sécurité d'Usenix à Washington, D.C. Fondamentalement, si vous pouvez procéder à une ingénierie inverse, vous pouvez voir comment il communique, tout voir sur la communication, sur le type de sécurité dont il s'agit et à quel niveau l'attaquer.
Węgrzyn lui-même a minimisé l'importance de cela, car il ne s'agissait pas d'une attaque réussie contre Dropbox et n'a entraîné aucune perte de données.